第6期「國家資通安全發展方案」推動策略三、「善用智慧前瞻科技、主動抵禦潛在威脅」之工作項目3-2「完善政府網際服務網防禦深廣度」,係規劃發展零信任架構(Zero Trust Architecture,ZTA)之資安防護環境,推動政府機關導入零信任網路,並逐步試行以驗證其可行性;為導入零信任架構,數位部114年度預算案於「一般行政」工作計畫之「資訊管理」分支計畫項下編列雲端服務費1,352萬6千元,賡續推動雲端資料中心、零信任架構身分驗證及設備管理系統服務等業務。經查:
(一)零信任機制導入運用情形概述
資安研究院參考美國國家標準暨技術研究院(National Institute of Standards and Technology,簡稱NIST)ZTA 之部署模型,提出我國政府機關採取之零信任模型(詳圖1),採取之模型為資源門戶部署(Resource Portal-Based Deployment)方式,凡資通系統之存取皆須透過存取閘道,並將身分鑑別、設備鑑別與信任推斷列為三大核心機制。
圖1 政府零信任架構三大核心機制
資料來源:資安研究院參採美國國家標準暨技術研究院(National Institute of Standards and Technology,簡稱NIST)零信任架構。
另參閱國家資通安全研究院發布之政府零信任架構身分鑑別機制導入建議(V1.1),導入階段包括規劃、建置與驗證(詳表1),提出ZTA之部署原則如下:
1.優先考量部署於政府機關維運之地端(On-Premises)環境。
2.導入零信任架構是一段逐步成熟之過程,不是一次大規模替換基礎架構與存取流程,相關組件之部署須與現有系統同時混合運作。
3.零信任架構之導入以資源門戶部署方式為基礎,逐步導入決策引擎之身分鑑別、設備鑑別及信任推斷3大核心機制。
表1 ZTA導入各階段作為之檢核清單
規劃階段
建置階段
驗證階段
導入作為
1
選擇導入之資通系統
2
評估身分鑑別方式是否新舊併行
3
評估使用者帳號是否維持一致
4
尋求零信任架構身分鑑別系統
5
評估鑑別器採用方案
6
評估資通系統介接之工作量
7
規劃導入所需軟體
8
規劃導入所需硬體
9
規劃導入所需經費
10
採購導入所需之軟硬體
11
部署零信任架構身分鑑別系統
12
介接現有身分鑑別伺服器
13
介接導入之資通系統
14
設定網路環境
15
訂定鑑別器管理作業辦法
導入作為
16
驗收採購項目
17
驗證部署符合性
18
確保具備維運與使用能力
導入作為
資料來源:國家資通安全研究院政府零信任架構身分鑑別機制導入建議(V1.1)。
(二)允宜妥予規劃各機關導入零信任架構之範圍與時程,並協調及輔導相關機關完備跨機關資料傳作業
為導入零信任網路架構,數位部規劃優先推動資通安全責任等級之A級機關,112年度先擇定部分機關試行零信任身分驗證制度,已完成22個機關介接跨機關資料傳輸專屬通道(T-Road),並試行導入身分鑑別制度,預計113年完成A級機關導入零信任機制,截至113年7月底導入22個機關如表2。
表2 截至113年7月底導入零信任機制之A級機關
編號
機關名稱
編號
機關名稱
1
內政部
12
內政部消防署
2
內政部警政署刑事警察局
13
海洋委員會海巡署
3
衛生福利部中央健康保險署
14
衛生福利部疾病管制署
4
中央銀行
15
財政部財政資訊中心
5
勞動部勞工保險局
16
衛生福利部
6
行政院主計總處
17
國家通訊傳播委員會
7
監察院
18
交通部公路總局
8
國家發展委員會
19
教育部
9
法務部調查局
20
經濟部
10
司法院
21
審計部
11
外交部
22
數位部
資料來源:數位部。
鑒於應用零信任架構於政府部門訊系統與網路環境,將涉及技術、組織、業務與執行之環節,規劃階段需盤點資訊系統、使用者與業務流程,挑選合適導入之資通系統,並發展相應連線存取作業、部署與運行等措施,再逐步擴大適用範圍,故前置作業應完成前揭規劃,俾循序漸進導入零信任架構。
綜上,近年來,民眾對於政府跨機關資料傳輸之安全性與信賴感要求遽增,數位部需妥予規劃各機關導入零信任架構之範圍與時程,提升政府資訊系統資通安全防護能力。